Как вы, возможно, знаете, в библиотеке Apache Log4j была обнаружена критическая уязвимость нулевого дня. Эта угроза представляет собой уязвимость удаленного выполнения кода. Если злоумышленнику удастся проэксплуатировать ее на уязвимом сервере, у него появится возможность выполнить произвольный код и потенциально получить полный контроль над системой.
Этой уязвимости присвоен статус CVE-2021-44228, и в различных блогах и отчетах она обычно упоминается как «Log4Shell».
Перечень уязвимых продуктов: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592?s=09
CVE-2021-44228 в библиотеке Java: https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability
Более подробно об узвимости Apache Log4J (CVE-2021-44228): https://www.fortiguard.com/threat-signal-report/4335/apache-log4j-remote-code-execution-vulnerability-cve-2021-44228
Способы снижения риска CVE-2021-44228
Для устранения уязвимости необходимо как можно скорее обновить Log4j до версии 2.15.0.
Обратите внимание: смягчение последствий с использованием Log4j версии 2.15.0 работает только в сочетании с Java 8. Пользователи с более ранними версиями Java (6 или 7) должны будут применить временные меры, описанные ниже, во время перезагрузки в определенных сценариях (это не долгосрочное решение, если не используется правильная комбинация Log 2.15.0+ и Java 8).
Кроме того, было несколько различных независимых источников, которые опубликовали потенциальные временные меры по смягчению последствий, связанные с изменением файлов конфигурации.
- Для версий >= 2.10 пользователи могут установить log4j2.formatMsgNoLookups значение true.
- Для версий >= 2.10 также установите LOG4J_FORMAT_MSG_NO_LOOKUPS значение true.
- Для версий 2.0-beta9 – 2.10.0 удалите JndiLookup.class из пути: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Поскольку эта ситуация динамична, мы продолжаем активно отслеживать новые разработки и предоставим своим клиентам дальнейшие обновления статуса и рекомендации при необходимости.